导 读
乌克兰正面临来自俄罗斯军事情报局 (GRU) 黑客的新型网络攻击,其目标是地方政府。
乌克兰计算机应急响应小组 (CERT-UA) 最近发现了与俄罗斯 GRU 有关的 APT28 或“Fancy Bear”发起的高级网络钓鱼活动。
攻击者使用一种新颖的方法,诱骗收件人直接从剪贴板执行恶意 PowerShell 命令 - 这是一种以最少的交互传递恶意软件的新技术。
模仿 Google 电子表格的链接
地方政府办公室内流传着被CERT-UA标记的电子邮件,主题为“表格替换”。这些电子邮件没有使用标准附件,而是嵌入了一个模仿 Google 电子表格的链接。
点击该链接会启动对 Google reCAPTCHA 的模仿,这是一种通过模仿网站识别机器人的画面来消除怀疑。
然而,与合法的 reCAPTCHA 提示不同,这个诱饵会执行一个看不见的操作:它将恶意的 PowerShell 命令直接复制到用户的剪贴板。
随后,指令提示用户按“Win+R”,打开命令提示符,然后按“Ctrl+V”粘贴,再按“Enter”执行。执行后,有效载荷就会启动,从而危害系统。
被木马感染的 Google reCAPTCHA 及其运行的 PowerShell 脚本。(来源:CERT-UA)
APT28 的策略表明这些组织如何利用日常任务中的熟悉动作来掩盖其意图。这种技术利用基本系统功能并利用用户对看似良性的提示(例如机器人验证)的信任。
CERT-UA 分析显示,该命令会启动下载和执行序列。它会启动恶意 HTML 应用程序“browser.hta”,然后执行 PowerShell 脚本“Browser.ps1”,该脚本旨在窃取 Chrome、Edge、Opera 和Firefox等热门浏览器的数据。
此外,它还使用 SSH 隧道进行数据泄露,允许窃取的凭证和其他敏感数据直接传输给攻击者。其中一个更令人担忧的方面是该脚本能够下载并运行 Metasploit 框架,该工具广泛用于渗透测试,但在威胁行为者中越来越受欢迎。
Fancy Bear 的武器库不断扩大
这并不是乌克兰实体第一次面临 APT28 的针对性行动。CERT-UA 在 9 月报告称,该组织利用 Roundcube 电子邮件漏洞(CVE-2023-43770) 重定向电子邮件数据。
恶意脚本在 Roundcube 漏洞利用后运行(来源:CERT-UA)
利用此漏洞,攻击者可以植入过滤器,自动将电子邮件转发到攻击者控制的地址。在这次攻击中,CERT-UA 发现至少有十个被入侵的政府电子邮件账户被用来向乌克兰国防联系人发送进一步的攻击。
在两次攻击中,APT28 均使用受感染的服务器 mail.zhblz[.]com 进行控制。
链接到该服务器的 IP(203.161.50[.]145)在之前的活动中出现过,这表明 APT28 的运营基础设施正在不断改进,以逃避检测,同时保持攻击的连续性。
随着 APT28 的持续活动,CERT-UA 建议政府机构警惕日益增多的针对性鱼叉式网络钓鱼活动,这些活动旨在利用用户信任和日常任务。
新闻链接:
https://thecyberexpress.com/google-recaptcha-trojanized-by-russian-hackers/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄罗斯黑客利用“I’m not a Robot ”reCAPTCHA 木马病毒攻击乌克兰政府
https://thecyberexpress.com/google-recaptcha-trojanized-by-russian-hackers/
CERT-UA 在最近针对乌克兰实体的攻击中识别出恶意 RDP 文件
https://thehackernews.com/2024/10/cert-ua-identifies-malicious-rdp-files.html
HOMESTEEL 恶意软件成为乌克兰的最新网络威胁
https://thecyberexpress.com/homesteel-malware-emerges-in-ukraine/
AWS 查获俄罗斯黑客组织 APT29 使用的域名
https://www.securityweek.com/aws-seizes-domains-used-by-russias-apt29/
一般威胁事件
General Threat Incidents
黑客组织 TeamTNT 发起新的云攻击以进行加密货币挖矿
https://thehackernews.com/2024/10/notorious-hacker-group-teamtnt-launches.html
Fog 勒索软件瞄准 SonicWall VPN,企图入侵企业网络
https://www.bleepingcomputer.com/news/security/fog-ransomware-targets-sonicwall-vpns-to-breach-corporate-networks/
美国政府可能因加密货币黑客攻击损失 2000 万美元
https://cybernews.com/crypto/us-government-hack-millions-lost/
联合健康集团称黑客影响了 1 亿美国人
https://cybernews.com/news/united-health-hack-impacts-hundred-million-americans/
SonicWall 防火墙是传播勒索软件活动的常见接入点
https://www.cybersecuritydive.com/news/ransomware-sonicwall-firewalls/731036/
“Windows Downdate”攻击:黑客降级 Windows 以利用已修补的漏洞
https://hackread.com/hackers-downgrade-windows-exploit-patched-flaws/
漏洞事件
Vulnerability Incidents
Nvidia 修补 Windows、Linux 图形驱动程序中的高严重性漏洞
https://www.securityweek.com/nvidia-patches-high-severity-flaws-in-windows-linux-graphics-drivers/
思科发布紧急修复程序,修复 ASA 和 FTD 软件中遭主动攻击的漏洞
https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html
西门子和施耐德电气产品中发现严重漏洞
https://thecyberexpress.com/cyble-ics-vulnerability-report/
研究人员发现 Wi-Fi 联盟测试套件中存在命令注入漏洞
https://thehackernews.com/2024/10/researchers-discover-command-injection.html
新的 Windows 驱动程序签名绕过允许安装内核 rootkit
https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):俄罗斯黑客利用“I’m not a Robot ”reCAPTCHA 木马病毒攻击乌克兰政府
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论